日期:2023年2月
系統總體設計
為了加強對業務系統和辦公系統的安全管控,提高資訊化安全管理水平,我們設計了基於pki/ca技術為基礎架構的統一身份認證服務平台。
總體設計思想
為實現構建針對人員帳戶管理層面和應用層面的、全面完善的安全管控需要,我們將按照如下設計思想為設計並實施統一身份認證服務平台解決方案:
在內部建設基於pki/ca技術為基礎架構的統一身份認證服務平台,通過集中證書管理、集中賬戶管理、集中授權管理、集中認證管理和集中審計管理等應用模組實現所提出的員工帳戶統
一、系統資源整合、應用資料共享和全面集中管控的核心目標。
提供現有統一門戶系統,通過整合單點登入模組和呼叫統一身份認證平台服務,實現針對不同的使用者登入,可以展示不同的內容。可以根據使用者的關注點不同來為使用者提供定製桌面的功能。
建立統一身份認證服務平台,通過使用唯一身份標識的數字證書即可登入所有應用系統,具有良好的擴充套件性和可整合性。
提供基於ldap目錄服務的統一賬戶管理平台,通過ldap中主、從賬戶的對映關係,進行應用系統級的訪問控制和使用者生命週期維護管理功能。
使用者證書儲存在usb key中,保證證書和私鑰的安全,並滿足移動辦公的安全需求。
平台總體介紹
以pki/ca技術為核心,結合國內外先進的產品架構設計,實現集中的使用者管理、證書管理、認證管理、授權管理和審計等功能,為多業務系統提供使用者身份、系統資源、許可權策略、審計日誌等統
一、安全、有效的配置和服務。
如圖所示,統一信任管理平台各元件之間是松耦合關係,相互支撐又相互獨立,具體功能如下:
集中使用者管理系統:完成各系統的使用者資訊整合,實現使用者生命週期的集中統一管理,並建立與各應用系統的同步機制,簡化使用者及其賬號的管理複雜度,降低系統管理的安全風險。
集中證書管理系統:整合證書註冊服務(ra)和電子金鑰(usb-key)管理功能,實現使用者證書申請、審批、核發、更新、吊銷等生命週期管理功能,支援第三方電子認證服務。
集中認證管理系統:實現多業務系統的統一認證,支援數字證書、動態口令、靜態口令等多種認證方式;為企業提供單點登入服務,使用者只需要登入一次就可以訪問所有相互信任的應用系統。
集中授權管理系統:根據企業安全策略,採用基於角色的訪問控制技術,實現支援多應用系統的集中、靈活的訪問控制和授權管理功能,提高管理效率。
集中審計管理系統:提供全方位的使用者管理、證書管理、認證管理和授權管理的審計資訊,支援應用系統、使用者登入、管理操作等審計管理。
平台總體邏輯結構
總體邏輯結構圖如下所示:
如圖所示,平台以pki基礎服務、加解密服務、saml協議等國際成熟技術為基礎,架構統一信任管理平台的管理系統,通過web過濾器、安全**伺服器等技術簡單、快捷實現各應用系統整合,在保證系統安全性的前提下,更好的實現業務系統整合和內容整合。
平台總體部署
集中部署方式:所有模組部署在同一臺伺服器上,為企業提供統一信任管理服務。
部署方式主要是採用專有定製硬體服務裝置,將集中帳戶管理、集中授權管理、集中認證管理和集中審計管理等功能服務模組統一部署和安裝在該硬體裝置當中,通過連線外部服務區域當中的從ldap目錄服務(現有ad目錄服務)來完成對使用者帳戶的操作和管理。
平台功能說明
平台主要提供集中使用者管理、集中證書管理、集中認證管理、集中授權管理和集中審計等功能,總體功能模組如下圖所示:
總體功能模組圖
集中使用者管理
隨著企業整體資訊化的發展,大致都經歷了網路基礎建設階段、應用系統建設階段,目前正面臨著實現納入到資訊化環境中人員的統一管理和安全控制階段。隨著企業的網路基礎建設的不斷完善和應用系統建設的不斷擴充套件,在資訊化促進業務加速發展的同時,企業資訊化規模也在迅速擴大以滿足業務的發展需要,更多的人員被融入資訊化環境,由此突出反映的事件是無論是網路系統、業務系統、辦公系統,其最終的主體將是企業內外的人員,每一為人員承擔著使用、管理、授權、應用操作等角色。因此對於人員的可信身份的管理顯得尤為重要,必將成為資訊化發展的重中之重,只有加強人員的可信身份管理,才能做到大門的安全防護,才能為企業的管理、業務發展構建可信的資訊化環境,特別是採用數字證書認證和應用後,完全可以做到全過程可信身份的管理,確保每個操作都是可信得、可信賴的。
集中使用者管理系統主要是完成各系統的使用者資訊整合,實現使用者生命週期的集中統一管理,並建立與各應用系統的同步機制,簡化使用者及其賬號的管理複雜度,降低系統使用者管理的安全風險。
集中使用者管理功能示意圖
管理服務物件
集中使用者管理主要面向企業內外部的人、資源等進行管理和提供服務,具體物件可以分為以下幾類:
具體服務物件之間的對映對應關係如下圖所示:
使用者賬號與資源對映圖
使用者身份資訊設計
使用者型別
使用者是訪問資源的主體,人是最主要的使用者型別:多數的業務由人發起,原始的資料由人輸入,關鍵的流程由人控制。人又可再分為:
員工、外部使用者。員工即企業的職員,是平台主要的關注的使用者群體;外部使用者是指以獨立身分訪問企業應用系統的一般個人客戶與企業客戶。
身份資訊模型
對各類使用者身份建立統一的使用者身份標識。使用者身份標識是統一使用者管理系統內部使用的標識,用於識別所有使用者的身份資訊。使用者標識不同於員工號或身份證號,需要建立相應的編碼規範。
為了保證使用者身份的真實、有效性,可以通過數字證書認證的方式進行身份鑑別並與使用者身份標識進行唯一對應。
使用者基本資訊儲存使用者最主要的資訊屬性,由於其它系統中,如hr中還保留有使用者更完整的資訊,因此需要建立與這些系統的中資訊的對照關係,所以需要儲存使用者在這些系統中使用者資訊的索引,便於關聯查詢。
基於分權、分級的管理需要,使用者身份資訊需要將使用者資訊按照所屬機構和崗位級別進行分類,便於劃分安全管理域,將使用者資訊集中儲存在總部,以及管理域的劃分。
質量科組織架構調整設計方案 最終方案
一 人員需求 科長1人 主管4人 品管2人 包材3人 原輔料7人 過程9人 計量3人 品評4人 合計 33人 二 崗位職責 1 科長 1 負責楓林酒廠質量管理體系建設及完善 2 負責楓林酒廠相關產品質量內控標準制定及工藝執行執 況的質量監督 3 負責監督生產區衛生規範的執行,對影響產品質量的衛生隱患...
教室設計方案一
1.厚紙 用來寫毛筆字 2.橫幅兩條 3.顏色不同的卡紙 4.幾盒摁釘 5.要求班級同學在卡紙上寫 姓名,自我目標和自我激勵的語言,要改正的錯誤,以及高三如何去做 二 具體計畫 1.前面牆上 在黑板上方寫出口號用毛筆字 前牆突出的弄乙個較為大的高考倒計時。2.後邊牆上 在左半面以紅色紙為底,剪出或畫...
最終城市汙水處理廠設計方案
金華職業技術學院 jinhua college of profession and technology 水汙染控制技術 課程設計 題目城市汙水處理方案設計 學院化工與製藥學院 專業環境監測與治理技術 班級環保082 小組第五組 2010年 12月30 日 目錄1 程設計的目的5 2 設計要求5 3...